网络安全行业三个思路（网络安全行业深度报告）

（报告出品方/作者：华西证券，刘泽晶）

网络安全的核心逻辑

网络安全的核心驱动因素

短期驱动: 事件驱动，网络安全事件好比网安行业的“催化剂”，网络安全事件促使合规及法律法规加速推进，进而促使网络安全产品逐渐丰富。代表的安全事件有斯诺登、滴滴、俄乌战争等安全事件。中期: 合规驱动，合规好比网安行业的“利刃”和“抓手”，运用强制手段促进网络安全的产品架构升级及应用场景的逐渐丰富。例如《国家安全法》《网络安全法》《信息安全技术网络安全等级保护基本要求》《数据安全法》等。长期: IT架构升级驱动，IT架构升级是网络安全的“根基”，以云计算、大数据等技术为首的新兴科技快速发展，为网络安全带来全新挑战，促使网络安全产品升级和应用场景逐渐丰富，例如态势感知、虚拟化云安全资源池、隐私计算、SASE、SOC等。

事件驱动是网络安全短期的“催化剂”

事件驱动往往带动网络安全指数价格短期的变化:事件影响往往是合规驱动的前提，而合规驱动带来IT改造量的变动和产品的升级。随着云、大、物、移、工等场景和架构的升级，网络安全事件呈现几何倍数增长。透过现象看本质: 1、网安事件发生频率增多，根据CPR数据，2022年第二季度全球网安攻击次数同比增长32%，全球机构平均遭遇攻击约1200次。 2、网安攻击呈现多元化趋势，网安攻击从单体作战转变成多人合作模式，攻击手段从传统的木马、蠕虫到APT、DDOS等。 3、网络安全上升至国家战略高度，从最开始的个人信息泄露或财产损失上升到企业商誉损失，最后上升到国家战略高度。 4、网络安全事件造成的损失正在逐步扩大，例如根据IBM的数据，2022年数据泄露的平均成本高达435万美元。

事件催化: 俄乌冲突，网络战正与传统战争结合

网络战争正在结合传统战争，演变成数字战争: 360创始人周鸿祎在《中国经济周刊》表示，俄乌冲突网络战已经刷新人们对战争的认知，网络战已经不是幻想，而是现实。俄乌冲突足以看清国家背景的APT攻击已经成为大国对抗的主流，网络攻击目标、手法和产生的破坏都在不断突破常规。截至6月3日，俄乌冲突100天的网络攻击主要有以下关键点:网络空间动荡不安: 网络攻击被广泛使用在虚假信息宣传，网络攻击被用作一种破坏、中断和数据泄露的手段；针对关键基础网络设施攻击较多: 比如通信服务、发电站遭受攻击较多，乌克兰和俄罗斯的能源、矿业和金融部门都遭受了大量攻击；黑客集体发挥主要作用: 反俄行为者开展的“黑客攻击和数据泄露”式攻击；亲俄行为者对乌克兰盟友开展的DDOS攻击。

合规驱动是网络安全中期的“利刃”

合规是网络安全建设的利刃，具有承上启下的效果: 网络安全可以理解成“半合规驱动型”行业，合规/法律往往承接“大安全”事件的发生，又以强制性的方式督促网络安全的建设、产品模块的升级、应用场景的丰富。透过现象看本质: 1、法律法规具有连续性，网络安全的法律法规、监管体制逐渐健全，精细化程度、惩罚力度逐渐加强。2、在合规的强制性驱动下，网络安全产品矩阵逐步完善，安全边际和场景进一步拓宽，市场份额进而扩大。法规对产品具有“催化”作用: 我们认为，近几年的法规可以理解成“3 1”层面，即“综合网络安全类型法规”、 “数据安全类型法规”、“垂直场景类型法规”和“需求类型法规”，每一种类型的法规都有爆品出现、原有产品升级或安全边界的拓宽！

IT基础架构驱动是网络安全长期的”根基”

网络安全一直存在“机会”的原因: 网络安全属于伴生型行业，每一次IT基础架构升级都会带动网络安全产品的升级和应用边界的拓宽，进而促使网络安全投资额度增加，以云计算、大数据等为主的IT技术正在重塑网络安全的版图。正向循环: IT基础架构升级➡网络安全攻击愈发复杂➡网络威胁暴漏面增加➡网络安全产品升级。分类: 我们将网络安全IT架构升级分为4类，分别是“基础安全类”、“大数据类”、“云计算类”、“垂直场景类”。

大数据类: DLP、数据库安全为数据安全保驾护航

数据泄露防护系统(DLP): 基于机器学习、关联分析、密码技术、访问控制、数据标识等多种技术的综合性数据安全防护产品。对数据生命周期中的各种泄密途径进行全方位检测防护，起到对敏感数据泄露行为的事前发现，事中拦截以及事后溯源等功能。具有便捷灵活、透明加密、高度稳定性、强大兼容性、详尽日志审记、容灾备份等特点。目前全能型厂商天融信、启明星辰、奇安信、绿盟科技、亚信安全皆已配备，根据安全创客汇的数据，2021年中国DLP市场仅为13.7亿元，19-21 平均增长率为18.7%。

数据库安全:基于机器学习机制和大数据分析技术，提供数据库审计，SQL注入攻击检测，风险操作识别等功能，保障数据库的安全。目前全能型厂商安恒信息、天融信、深信服、绿盟科技、启明星辰全皆已配备。根据安全创客汇的数据，2021年中国数据库安全市场超过29亿元，同比增速高达23.9%。

大数据类: “新安全需求”，力推零信任

零信任架构：一种数据安全的端到端方法，提供一系列组件及其交互关系，以消除针对信息系统和服务进行精准访问判定所存在的不确定性，相较于传统边界安全（如典型的vpn），在架构导向和访问控制模式等方面进行了全面升级。零信任机构代表了新一代的网络安全防护理念，它的关键在于打破默认的“信任”，一言以蔽之：“持续验证，永不信任”。默认不信任企业网络内外的任何人、设备和系统，基于身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信。

网络安全板块回调的原因？

我们认为网络安全板块回调的最主要因素分为以下两点: 网络安全公司陷入“增收不增利”困境；疫情导致网络安全下游展开安全建设困难。

拐点之时，格局之变

网络安全竞争格局复盘

网络安全行业一共经历了三个阶段，分别是“初始阶段”、“平稳发展阶段”以及“高速增长阶段”。初始阶段: 1997年至2007年，市场依旧以反病毒、防火墙、密码学为主导，市场被外资厂商主导，例如思科等，早期安全巨头开始成立，例如启明星辰、天融信、绿盟科技。平稳发展阶段: 2008年至2014年，增速平缓，行业集中度略有提升，国产化加速，外资行业份额下降，以第一家网安公司卫士通上市为开始，预先上市的公司开始兼并收购，加速行业整合。高速增长阶段: 2015年至今，以斯诺登事件为开始，阿里、华为、腾讯等互联网和ICT厂商进入市场，行业竞争加剧，同时，随着云计算、大数据等新兴技术兴起或者工业互联网等新兴领域，市场进入高速成长期。

网安行业的”破局”之路

综合性网络安全厂商的兼并收购: 我们对“综合性安全厂商”的定义是无论是产品广度、业务广度还是市场占有率都处于龙头地位，综合性网络安全厂商通过融资兼并收购来弥补自己安全领域的短板，提高产品的丰富度，来保持强者恒强的地位。

网安软件: 网络安全的核心利润来源

数据安全: 数据安全包含数据全生命周期管理以及隐私计算和区块链安全等，随着《十四五规划纲要》《数据安全法》《个人信息保护法》等重要法律法规的催化下，数据合规变成刚需。此外，技术方面，数据安全和网络安全、服务、密码能力的融合逐步增强，云上数据安全能力进一步加强，我们判断数据安全增速高于网安软件增速，且市场空间极其广阔，随着隐私计算的到来具有爆发性。软件安全网关: 软件(Saas)形态安全产品扮演日益重要的角色，政务云、公有云市场快速发展，软件网关产品快速发展，我们判断软件网关市场行业增速略高于网安硬件增速。工控安全及车联网安全软件等: 工控领域目前呈现碎片化的特征，软件方面以工控审计、运维监测系统为主，未来随着5G工业互联网时代的到来，类标品或将出现，安全欲将爆发；车联网安全产品目前仍处于试点阶段，我们判断随着法规逐渐健全，安全应用场景将愈发透明。

直销:“国家队”网安有望成为市场主要玩家

“国家队”有望成为市场主要玩家: 过去两年，以中国电子、中国电科、中国电信、中国移动纷纷入股网络安全厂商，欲打造网络安全 “国家队” 。从网络安全下游来看，政府、电信、金融行业是网络安全的主要行业客户，具有多链条产品和一体化的解决方案更容易受到青睐；同时这些行业对于数据相对敏感，对合规的要求程度更为严格。因此，“国家队”背景的网络安全厂商具有相对优势。

研发: 研发平台效果初显，研发效率全面提升

研发平台本质是降本增效: 传统网络安全依靠“人头”无法满足日益膨胀的网络安全需求，研发平台的本质是网络安全进行创新的底座，将已有知识和技术储备放到研发平台去，降低厂商对研发人员的“依赖”，进而达到长期的降低研发成本的效果，最终实现降本增效。我们认为以奇安信、天融信为首的网络安全厂商初具成效，未来随着全能型公司营收持续增加，研发费用处于上升状态，但是研发费用率会持续下降，研发效率会持续上升。

利润: 关注全能型网络安全收入与利润剪刀差

营业收入: 网络安全市场前景广阔，根据IDC的数据，2026年中国网络安全IT规模将达到318.6亿美元，全球占比为11.11%，五年CAGR约为21.2%；我们认为，传统产品可以为网安厂商提供稳定的现金流，同时，新兴产品以XDR、态势感知、日志审查、SASE、安全资源池等新安全产品正在进入爆发阶段，“零信任”架构和安全托管服务正在被客户接纳进，入快速放量阶段，未来云原生、零信任、隐私计算、车联网场景有望对行业产生革命性影响。

我们认为，全能型网络安全厂商受益于产品矩阵丰富，有望最先受益。

直销: 以中国电子、中国电科、中国电信、中国移动为代表的公司纷纷入股网络安全厂商。内部，由于网络安全产业贯穿信息化的全流程，国企有望对自身参股公司进行资源倾斜。外部，由于网络安全厂商下游为政府、电信、运营商等行业，往往对合规要求更为严格， “国家队”背景具有相对优势，同时，“国家队”背景的网络安全厂商有望与国企体系协同发展。

渠道: 渠道体系往往决定市场竞争力情况，全能公司建立渠道体系是为了向中小客户进行渗透，我们认为以深信服为代表的全能型网络安全“跑马圈地”的渠道建设基本完成，目前正是”收获“的黄金季节。

研发: 以奇安信为代表的全能型网络安全厂商的研发平台效果初步显现，研发效率全面提升，全能型网安厂商对研发人员的”依赖”大幅降低，降本增效的效果持续凸显。

利润: 我们认为网络安全正在逐步走出”增收不增利”的”阴霾”，伴随着军团体系关注结构化订单，各大网络安全厂商现金流回归平稳阶段，同时伴随着政府Q4招标在即，我们判断之前受疫情影响的需求即将爆发，全能型网络安全厂商正在步入正向循环，新安全业务收入快速增加传统安全提供稳定现金流➡渠道直销体系建设完成导致研发费用率下降➡研发平台效果初现，研发费用率大幅下降 ➡归母净利润的上升，网络安全收入与利润的剪刀差正在兑现！

报告节选：

网络安全行业三个思路（网络安全行业深度报告）(1)